tshark -qr [cap] -z conv,tcp | awk '{printf("%s:%s:%s\n",$1,$3,$10)}' | awk -F: '{printf("%s %s %s\n",$1,$3,substr($5,1,length($5)-10))}' | sort | uniq -c | sort -nr
Эта команда использует Tshark для анализа сетевого трафика, извлекая информацию о TCP-разговорниках. Она выполняет следующие действия:
1. tshark -qr [cap] -z conv,tcp
— Запускает Tshark для анализа сетевого захвата в файле [cap]
и выводит информацию о TCP-разговорниках.
2. awk '{printf("%s:%s:%s\n",$1,$3,$10)}'
— Фильтрует и форматирует вывод, извлекая IP-адреса и порты обеих сторон разговорника.
3. awk -F: '{printf("%s %s %s\n",$1,$3,substr($5,1,length($5)-10))}'
— Дополнительно форматирует вывод, удаляя порции времени из временных меток.
4. sort
— Сортирует данные.
5. uniq -c
— Оставляет только уникальные строки и подсчитывает их количество.
6. sort -nr
— Сортирует результат в обратном порядке по количеству разговорников.
Эта команда полезна для определения топовых TCP-разговорников в сетевом трафике за начальную секунду. Альтернативой может быть использование других инструментов анализа сетевого трафика, таких как Wireshark.